ISO に準拠した脅威インテリジェンスプログラムの導入
ISO/IEC 27002:2022
(国際標準化機構が定めた一連の標準規格)に記載されている脅威インテリジェンスの管理策の定義を満たす脅威インテリジェンスプログラムを導入することは、決して負担の大きいことではありません。
この ISO/IEC 27002 の標準規格は、組織が独自に、あるいは ISO/IEC 27001 に準拠したサイバーセキュリティ プログラムの一部として導入することのできるセキュリティ管理策を記述したリストであり、何から何までを規定したものではありません。
ISO 27001 のガイダンスでは、どのようなセキュリティ管理が適切かが示されており、ISO 27002 では、管理策の詳細とその導入方法が説明されています。脅威インテリジェンスは、最近この 2022 年版に追加された管理策であり、世界 160 か国以上で活用されています。
脅威インテリジェンスとは何か
脅威インテリジェンスとは、簡単に言えば脅威に関する情報です。脅威インテリジェンスの目的は、意思決定者が現在の脅威と将来直面する可能性のある脅威について十分な情報を適時に得ることで、より的確な意思決定を行えるようにすることです。
絶え間なく変化するサイバー脅威環境がもたらすリスクは一定ではないにもかかわらず、リソースには限りがあります。こうした状況では、どのようなセキュリティ対策を導入するかの決定は、リスク選好と脅威の性質の理解にかかっています。効果的な脅威インテリジェンスがあれば、意思決定者は脅威の状況がどのように変化しているかを適切なタイミングで把握し、脅威に対抗するための行動を起こせます。
脅威に対抗する行動とは、ブロックリストの更新という単純なものから、新たな対策への投資を行うべき分野の検討を要するものまでさまざまです。この標準規格に記述されている脅威インテリジェンスの目的は「組織がその脅威環境に関する認識を持ち、適切な緩和策を講じられるようにする」ことです。具体的にどのような行動が必要なのか、詳細を決めるのは組織の意思決定者です。
脅威情報の入手
組織内のデータから日常的にインテリジェンスを生み出している組織はほとんどありません。ほぼすべての組織は、政府機関や専門のプロバイダー、協力グループなど第三者が公表したインテリジェンスを入手し、活用しています。
Talos は、公開しているインテリジェンスの質に誇りを持っています。Talos のブログでは、特定した重要な脅威に関するインテリジェンスを公開しており、毎週の『脅威情報ニュースレター』では、新たに確認された主要な脅威の概要を説明しています。
組織はこういったインテリジェンスを収集してそこに記載されている脅威を確認し、その脅威が自組織に関連するか、関連する場合はどのような影響があるか、何らかの緩和策を追加する必要があるかを検討することができます。この情報を関係者に周知することで、現在の脅威に対する重要な認識を高めることができます。また、脅威に対抗するために変更を加える必要がある場合には、実用的なインテリジェンスを提供することができます。
脅威インテリジェンスプログラム
非常に簡単に言ってしまうと、基本的な脅威インテリジェンスプログラムは、プログラムの目的、インテリジェンスを収集する情報源、収集の頻度、収集した情報をどう活かすかで構成されます。
ISO/IEC 27002 の表現から、プログラムの目的を定める際の要点を把握できます。脅威インテリジェンスは、「関連性があり、洞察に富み、背景情報がわかり、実用的である」べきです。この 4 つの要件を満たすインテリジェンスの収集は、より広範なサイバーセキュリティ活動にほぼ確実に役立ちます。
インテリジェンスの情報源を確保するのはごく簡単で、すでに参考にしている脅威インテリジェンスのプロバイダーをリストアップし、今後どのくらいの頻度で情報を調べるかを決めるだけです。Talos が毎週発行しているニュースレターにご登録いただくと、最も多く確認されているマルウェアに関する情報を入手できます。
このインテリジェンスを使用すれば、自組織に導入しているどの防御システムが脅威を検出したかを(もし検出していれば)確認できます。その脅威はもっと早く検出できていた可能性があります。それについてよく考え、何かを思いついたら経営陣に進言することが、実行可能な脅威インテリジェンスプログラムとなります。
Talos の『注目の脅威』の投稿と『四半期の動向』レポートでは、脅威の詳細と攻撃者が用いる手口を紹介しています。記載内容を分析し、悪意のある戦略をどのように検出してブロックするか(またはそれが可能か)、あるいは追加の緩和策が必要かどうかを検討し、その情報を経営陣に伝えることも、脅威インテリジェンスの効果的な活用になるでしょう。
さらに進んだ管理策
ISO/IEC 27002 で定義されている追加の管理策は、脅威インテリジェンスプロセスの一部に取り入れることができます。あるいは、追加の管理策を導入する際にインテリジェンスの情報を役立てることができます。関連があるのは以下の管理策などです。
5.6 SIG(情報交換を行うグループ)との交流:経験やインテリジェンスを業界の同業者と共有するコミュニティの一員になることで、さらにインテリジェンスを収集し、背景情報を明らかにすることができます。
8.7 マルウェアからの保護、8.23 Web フィルタリング:ユーザーが直面する可能性のある脅威の現状について情報を提供すること、ユーザーが脅威を特定できるような情報を提供すること、システムを保護できるようにすることが、組織のセキュリティ態勢の改善に役立ちます。
8.8 技術的脆弱性の管理:脆弱性の潜在的および顕在的な悪用リスクに基づいて脆弱性の緩和およびパッチの適用に優先順位をつけるためには、脆弱性の深刻度評価を確認し、今後の深刻度の変化を見ていく必要があります。
8.15 ログ収集、8.16 監視活動:脅威インテリジェンスを適用してログデータ内での脅威の現れ方を理解すると、ログを記録、保存、照会するためのシステム情報を決定することによって悪意のある振る舞いを発見できます。
本稿は 2023 年 07 月 18 日に Talos Group
Tags:
